Adwind远程访问木马攻击公用事业单位

攻击者通过使用URL重定向到带有payload的恶意邮件，利用Adwind远程下载特洛伊木马（RAT）恶意软件感染公用事业行业的单位。

Adwind（也称为jRAT，AlienSpy，JSocket和Sockrat）由其开发人员以恶意软件即服务（MaaS）模式分发给受害者，并且能够逃避大多数反病毒软件的检测。

虽然Adwind Trojan设法避免某些反病毒软件的检测，但基于沙箱和行为的防病毒软件应该能够成功检测到并阻止它。

针对家庭和企业用户

这使得攻击者能够成功地破坏目标计算机而不会引起怀疑，从Chrome、IE和Edge窃取VPN证书和凭据等敏感信息，从而执行各种恶意任务。

Adwind RAT还可以录制视频和声音，使用受感染机器的摄像头拍摄照片，以及获取加密货币钱包信息的快照。

Adwind 自 2013 年以来一直在针对来自金融、电信、软件、能源和政府等众多行业的数十万个人和政企单位发动攻击。

从以前检测到的攻击行为分析出，大多数攻击者最常使用的初始攻击方式是恶意邮件，其中包含带有payload的附件或链接重定向到payload。

伪装成PDF附件的恶意URL

在公用事业部门工作人员的收件箱中发现了用来感染特定受害者的电子邮件，它们通过Friary Shoes的受感染电子邮件帐户发送，该公司的服务器还可用于存储Adwind恶意软件负载并将其发送到受害者的计算机。

“在电子邮件的顶部是一个嵌入式图像，它看起来像一个PDF附件，但实际上是一个嵌入式超链接的jpg文件。”Cofense研究人员发现了这个新的Adwind攻击方式。

当受害者单击附件时，他们被重定向到https://exam.com/payload，并下载初始的payload。

为了引诱目标点击伪装成PDF附件的恶意链接，攻击者有时会使用带有诱惑性字词的邮件正文，例如：“附件是公司汇款通知的副本，请签署后回复。"

单击malspam消息中包含的下载链接后，JAR文件形式的初始payload将下载到目标计算机上。

恶意软件将在执行时与其命令和控制（C2）服务器联系，并将收集的所有数据及其所有依赖项添加到c:Users用户名AppDataLocalTemp文件夹。

感染链的下一步是在Microsoft官方应用程序taskkill的帮助下查找和终止任何已知的分析和防病毒软件。

变换方法和诱饵

Cofense的研究人员还观察到了其他几起攻击，他们使用大量技术和诱饵来钓鱼各种类型的目标。

就在上周，他们发现了一个鱼叉式网络钓鱼攻击，借助Google Drive服务共享的文件来规避微软电子邮件网关，旨在针对能源行业公司的员工。

7月份，攻击者从他们通常使用的恶意网址切换到WeTransfer通知，帮助他们绕过微软，赛门铁克和Proofpoint开发的电子邮件网关。

某些HTML元素还可被用于隐藏来自反垃圾邮件解决方案的网络钓鱼登录页面链接，这种策略可以逃避Office 365 Advanced Threat Protection的安全检查并将其钓鱼邮件发送到American Express客户的收件箱中。

7月初，又发现了另一个使用虚假eFax消息的攻击，同时还使用恶意的Microsoft Word文档附件让目标感染特洛伊木马。

Cofense一个月前也发现了滥用QR码的网络钓鱼攻击，通过其运营商将潜在目标重定向到登陆页面，同时躲避阻止此类攻击的安全解决方案和控制措施。